Secure SHell (SSH)はセキュリティターミナル接続のための標準プロトコルであり、一般的にリモートに位置する Linux システムをコントロールするための目的で使用される。個人のユーザーがデスクトップの目的で使用する Windows OS とは異なり、Linux システムの場合は主に Web やデータベース、FTP、DNS などのサービスを提供するサーバーとしての役割を遂行する。もちろん、Windows もまたデスクトップのみに対応しているわけではなく、このようなサービスを提供するサーバーとしての機能も提供している。
Windows 、Linux どちらもサーバーとして動作する場合は、リモートでそれらを操作するためのツールが必要になる。Windows ではそのために Remote Desktop Service (RDP)に対応しており、管理者はこれによってリモートで Windows システムを操作することができる。RDP のようなサービスはユーザーのアクセスを可能にする必要があるため外部に公開されており、そのために外部攻撃者の主なターゲットとなる。ユーザーが適切なアクセス制御ポリシーを使用せず単純な形式のパスワードを使用している場合、総当たり攻撃や辞書攻撃によって操作権限を奪われる可能性がある。
これは、Linux 環境でも同様である。攻撃者は RDP と同様に外部に公開されている SSH サービス、すなわち22番ポートをスキャンしたあと、総当たり攻撃や辞書攻撃によってログインを試みる。ログインに成功した場合、そのシステムの操作権限を奪い、ランサムウェアやコインマイナーのようなマルウェアのインストールや、情報を窃取することがある。SSH サービスはこのような初期侵入プロセスのほかにも、ラテラルムーブメント攻撃のプロセスでも利用されることがある。
AhnLab SEcurity intelligence Center(ASEC)では不適切に管理されている Linux サーバーを対象とする攻撃をモニタリングしており、ShellBot [1]、Tsunami [2]、ChinaZ [3]のような DDoS Bot やコインマイナー[4] [5] マルウェアなど、確認された攻撃事例を解析して公開してきた。
AhnLab EDR(Endpoint Detection and Response)は、韓国国内で唯一の振る舞いベース解析エンジンをもとにエンドポイント領域に対して強力な脅威モニタリングと解析、対応力を提供する次世代エンドポイント脅威検知および対応ソリューションである。AhnLab EDR は、疑わしい振る舞いに関するタイプ別情報を常時収集し、検知および解析、対応の観点からユーザーが脅威を正確に認識できる機能を提供し、これによって総合的な解析を通じ原因把握と適切な対応、再発防止プロセスを確立できる。
ここでは Linux SSH サービスを対象とする攻撃に対し、管理者がこれを事前に認知して、原因の把握と適切な対応を行うことができるよう、AhnLab EDR を活用して検知できる事例を紹介する。
1. 総当たり攻撃 / 辞書攻撃
一般的に攻撃者は、ランダムまたは特定帯域の IP アドレスをスキャンして SSH サービスが動作するシステム、すなわち22番ポートが開放されているシステムを探す。過去の事例において、攻撃者は辞書攻撃によって Linux システムにログインしたあと、スキャナーマルウェアをインストールしてさらなる被害システムを確保した。[6] 攻撃者はまずポートスキャナーを利用して、特定の IP 帯域に対し22番ポートをスキャンし、確認された SSH サーバーに対しバナーグラビングで SSH サービスが実行中かどうかを検証した。ここまでのプロセスが完了すると、SSH 辞書攻撃ツールを利用して ID/PW リストが保存されている設定データを読み込んで当該システムにログインを試み、成功するとシステムの基本情報を結果ファイルに保存した。
AhnLab EDR は総当たり攻撃や辞書攻撃によって多数のログイン失敗イベントが発生する場合、管理者が原因の把握と適切な対応を行えるよう、以下のように脅威として検知する。
2. SSH サービスを攻撃してマルウェアをインストールするプロセス
上記事例において、攻撃者はスキャンおよび辞書攻撃を実行するマルウェアをインストールし、より多くの脆弱なシステムを確保しようとした。この場合、攻撃者は取得した攻撃対象の IP や資格情報を、ダークウェブに販売することもできる。
しかしほとんどの場合は、攻撃者および伝播機能が含まれたマルウェアは SSH サーバーへのログインに成功したあと、さらなるマルウェアをインストールする。例えば、以下はクラウド環境の Linux プラットフォームを対象とするコインマイナーマルウェアである Kinsing がリモートシステムにログインしたあと、自身を伝播させるプロセスで使用するコマンドである。[7]
AhnLab EDR は SSH サービスを通じて疑わしいコマンドが実行された場合、これを脅威として検知し、管理者が事前に認知できるようにサポートする。
3. SSH サービスを活用したラテラルムーブメント攻撃
Linux サーバーに SSH を利用してログインする際はパスワードを入力することもできるが、SSH キーを利用すればパスワードを入力せずともログインが可能である。そのためには SSH キーのペア、すなわち公開鍵/秘密鍵を生成し、ログインする Linux サーバーに SSH 公開鍵を追加するプロセスが必要となる。Linux サーバーに公開鍵が置かれていれば、以降生成した秘密鍵を利用してクライアントからサーバーにパスワード入力なしでログインが可能となる。
Kinsing マルウェアは、これを悪用してラテラルムーブメント攻撃に使用している。Kinsing の伝播モジュールである「spre.sh」スクリプトは感染システムに保存されている SSH 接続ログ、およびキーファイルをもとにして伝播する機能を担う。以下のようなファイルからホスト、接続ポート、ユーザー、キーファイルを収集したあと、繰り返し文を使って接続を試みる。接続に成功した場合は curl および wget を利用して、上記で説明したダウンローダースクリプトをダウンロード、および実行させるコマンドを伝達する。
| 収集情報 | 収集対象 |
|---|---|
| Host List | “*/.ssh/config”, “*/.bash_history”, “/etc/hosts”, “*/.ssh/known_hosts”, “22番ポートを使用するプロセス“ |
| SSH Port | “*/.bash_history” |
| User List | “*/.ssh/id_rsa”, “*/.bash_history” |
| Keys | “*/id_rsa”, “*/.ssh/config”, “*/.bash_history”, “*/*.pem” |
AhnLab EDR は、システムのログファイルや SSH キーファイルを読み込んで別のシステムに自身を伝播させる振る舞いが発生した場合、管理者が原因の把握と適切な対応を行えるよう、以下のように脅威として検知する。
4. 結論
不適切に管理されている Linux SSH サーバーを対象とする攻撃は、以前から行われ続けている。攻撃者は、総当たり攻撃と辞書攻撃によってシステムの操作権限を奪い、ランサムウェアやコインマイナーのようなマルウェアのインストールや、情報を窃取することができる。
そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃から Linux サーバーを保護し、最新のセキュリティパッチを適用して脆弱性攻撃を防ぐ必要がある。また、外部に公開されていてアクセスが可能なサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。
AhnLab EDR は、総当たり攻撃および辞書攻撃のような初期侵入段階から、SSH サービスを通じて疑わしいコマンドを実行する振る舞い、さらにラテラルムーブメントのプロセスで SSH サービスを悪用する振る舞いを脅威として検知する。管理者はこれにより原因の把握と適切な対応を実行することができ、攻撃に晒された後も攻撃対象となったシステムから攻撃者の証跡資料として侵害事例の調査に必要なデータを確認することができる。
振る舞い検知
– CredentialAccess/EDR.BruteForce.M11571
– InitialAccess/EDR.Event.M11567
– Infostealer/EDR.Shell.M11231
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
The post AhnLab EDR を活用した、Linux SSH サービスを対象とする攻撃の検知 appeared first on ASECブログ.